BYODを取り入れることでモビリティを高め、業務の効率化や働き方の改革をしたいと思っている人たちへ。ユーザーエクスペリエンスを損なわず、企業にとって重要な情報を守るにはどうしたらよいのか?
スマートデバイスは、多くの企業が会社支給やBYODといった形で導入している。業務でスマートデバイスに触れる機会が増えるほど、現場ではメールやスケジュール管理の確認、顧客先でのプレゼンツールといった従来の使い方だけでなく、業務アプリケーションとの連携など一歩踏み込んだ活用を求める声が高まっている。
一方で、管理者側から見ればスマートデバイスには管理性やセキュリティ上の課題が多い。特に悩ましいのは、私物デバイスの業務利用を許可するBYODだ。TechTargetジャパン「BYODに関するアンケート調査」(2013年4月実施)によると、半数以上の56.5%がBYODを禁止しており、今後も許可を予定していないと回答。懸念材料として、私物端末からの情報漏えい、盗難・紛失時の私物データの扱い、業務データの安全性確保、退職時における私物デバイス内の業務データの扱いなど、セキュリティ関連の課題が上位を占めた。
対策の1つには、MDM(モバイルデバイス管理)がある。リモートからのデータ削除や資産管理といった面では、大変効果の高いソリューションだ。しかし、業務利用だからといって、盗難・紛失時に私物デバイス内のデータを全消去するのは議論の余地がある。同様に、利用機能を制限する、一部アプリケーションのインストールを禁止するなどは、ユーザーの利便性を損ねる対策だ。むしろ社員からは疎まれ、スマートデバイスを申請せずに隠れて業務利用する行為などが横行しかねない 。
つまり、スマートデバイスを業務活用するのであれば、最初に考えるべきはユーザーエクスペリエンスとセキュリティの両立だ。手軽に持ち運べて必要な情報をすぐ取り出せる、スマートデバイスならではのメリットを最大限に引き出すことで、業務の効率化、ひいてはワークライフバランスを含むワークスタイルの変革も実現できるといえる。その上で、守るべき情報の保護をきちんと詰めていけばいい。
以上の点をまとめると、スマートデバイスの業務利用を成功させるポイントは、次の3つだ。
いつでも、どこでも手軽に使えるスマートデバイスの特性を生かし、ユーザーが特別意識することなく私用データと業務データを保護する。一見両立の難しい要件に見えるが、これをクリアするソリューションがある。それが、ソリトンシステムズの「DME(Dynamic Mobile Exchange)」だ。
DMEは、スマートデバイス内に暗号化領域「セキュア・コンテナ」を作成する。ユーザーは、DMEをアプリケーションとしてインストールし、ログインすると、MicrosoftExchangeやIBM Notes/Dominoのグループウェア機能をほぼフルで利用できるようになる。
DMEの最大の特長は、他とは一線を画す優れたユーザーエクスペリエンスだ。
DMEは、DMEサーバを経由して、「DMEコネクタ」もしくはオプション機能の「AppBoxゲートウェイ」に接続する。
DMEコネクタは、ExchangeやNotesを利用するためのインタフェースである。両グループウェアと高度に連携し、オフィスのPCと変わらない使用感を実現する。メールの着信通知、フォルダ連携、新規作成、返信、転送、下書き保存、削除、セキュア・コンテナ内メールのメールサーバ検索はもちろんのこと、メール添付ファイルの閲覧・編集もスマートデバイス向けに作り込まれた専用ビュワーで容易に実行できる。スケジュール管理では、予定の確認、登録、会議招集、承認、施設予約ができる。そして、いずれの操作もスマートデバイス向けに作り込まれており、その優れた操作性はマニュアルも不要なほどだ。
また、オフライン作業ができるのもメリットが大きい。例えば、飛行機に搭乗して機内モードに設定していても、メールや添付ファイルの閲覧ができ、返信も作成できる。到着後に機内モードをオフにして接続すれば、自動的に送受信が行われる。利用者は、オンライン/オフラインを意識せずに利用できる。
もう1つのAppBoxは、業務アプリケーションとのコネクタだ。セキュア・コンテナ内のセキュアブラウザを介して、SFA、CRM、ERPなど、自社独自の業務アプリケーションと安全に接続するための仕掛けだ。経費精算や申請承認、販売管理や在庫管理など、さまざまなWebアプリケーションをDME経由で操作できるようになる。
AppBoxは、Apache Cordova(PhoneGap)APIに標準対応する。つまり、デバイス側のOSに依存しないハイブリッドアプリケーションが動作する。WebアプリケーションをOS別に作り分ける必要がない。
また、HTML5とPhoneGap APIを組み合わせた開発にも対応できる。例えば、デバイス側のGPS機能で位置情報を検出し、セキュア・コンテナ内の営業支援アプリケーションで読み込み、新規顧客の開拓に活用するなども可能だ。デバイス特有の機能と自社のWebアプリケーションをセキュア・コンテナ内で連携させることができるということだ。利用可能なアプリケーションや機能の幅は一気に広がる。しかも、データはセキュア・コンテナ内で管理されるので、情報漏えいの心配はない。
ただし、業務で使用するモバイルデバイスである以上、利便性だけを追求できれば良いというわけでは決してなく、当然セキュリティは堅牢でなければならない。その点、DMEのセキュリティ機能は、こうしたユーザーエクスペリエンスを損なわずにセキュリティを担保してくれる。
まず、セキュア・コンテナは、他のアプリケーションや領域からアクセスできず、またコンテナ内で扱うデータを他領域に保存・抽出することもできない。例えば、外出先で業務関連の写真を撮影、メール添付して関係者と共有したいとする。その場合、ユーザーはセキュア・コンテナ内のグループウェアにあるカメラ機能で撮影するが、これはデバイスのカメラ機能を利用することから、通常であればデバイス指定の領域に撮影データが保存される。しかし、セキュア・コンテナであれば、撮影データをコンテナ内の指定領域に保存できる。つまり、業務用の写真はセキュア・コンテナ内に保存され管理されるため、プライベートの写真と明確に分離(公私分離)することができる。
次に、DMEのデバイス管理は、「コーポレートモード」と「BYODモード」のいずれかを選択して利用できる。
コーポレートモードは、デバイス全体を制御する。リモートロックやワイプ、インストールするアプリケーションの制御、パスワード強化など、一般的なMDMで提供される機能をデバイス全体に適用できる。特に会社支給デバイスには最適な設定だ。
一方のBYODモードは、リモートロックやワイプなどの対象がセキュア・コンテナに限定される。私物のデータは削除されない。MDMのようなデバイスの視点で管理するのではなく、データ管理の視点でセキュリティを考えることで、きめ細かい対応を実現している。DMEならではの優位性と言ってよいだろう。公私分離することのメリットは、特にBYODで効果を発揮する。
認証セキュリティの強化も重要だ。DMEでは、デバイス認証により未登録デバイスの接続拒否を設定できる。退職後の社員の私物デバイスにDMEアプリケーションがインストールされたままであっても、管理者側で登録から外せば接続できなくなる。私物デバイスに対し、確実に業務アプリケーションを削除するよう指導、管理するのは難しい。この方法であれば、最小限の運用負担で不要なリスクを回避できる。
さらに、AppBoxゲートウェイにはアクセスコントロール機能が実装されており、Active DirectoryやLDAPで設定されたグループによってアクセス可能なWebアプリケーションを制限できる。
この他、セキュリティ機能には、電子署名やシングルサインオン、Jailbreak/root化デバイスの隔離設定など、各種取りそろえる。また、紛失・盗難時にユーザー自らがデバイスのロックやワイプを実行できる「MyDME」機能も搭載する。取引先との会食で深夜遅く帰宅するとき紛失に気付いた場合も、翌朝までIT管理者の対応を待つことなく対処できる。
「私物デバイスに業務データを保存させるのは高リスクだ」「VDI(Virtual Desktop Infrastructure)やリモートデスクトップを検討しているが、通信が重すぎる」「外出先でも業務アプリへアクセスしたいが、良い手段が見つからない」。そんな理由でスマートデバイスの業務利用を諦めていたのであれば、ぜひ一度DMEを検討してみてほしい。グループウェアから一歩先を行くスマートデバイス活用のニーズに、DMEは確実に応えていく。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:TechTarget編集部/掲載内容有効期限:2013年9月18日